今天在一个免杀视频里看到一个非常另类的启动方式

sky1987

我不知道是不是我火星了
视频作者为了过360的主防，采用了一种间接的启动方式
木马运行不加载启动项，于是主防无提示
之后用一种方法让迅雷或输入法这些常用软件去启动它
由于开机不启动，只在迅雷常用软件开启时启动
我不清楚里面的原理是什么，感觉用XT等手动查毒会找不出来

左寒

多百度百度吧，楼主。

海南仙岛

无非就是注入，但是注入也会拦截的.

病毒抗体

百名单利用类恶意软件？

坠落今生

在迅雷目录下生成DLL文件，当放迅雷启动是就会自动加载。现在各种QQ显IP插件都是用这种方法随QQ启动的。（小弟在卡饭一直潜水，貌似这是第一次回帖）

22ll22

坠落今生 发表于 2012-3-25 09:38

这么容易就绕过了？

sky1987

左寒 发表于 2012-3-25 00:19
多百度百度吧，楼主。

我百度不到所以才跑这里来问的

sky1987

坠落今生 发表于 2012-3-25 09:38
在迅雷目录下生成DLL文件，当放迅雷启动是就会自动加载。现在各种QQ显IP插件都是用这种方法随QQ启动的。（小 ...

恩，你说的挺对的
话说，这种启动方式的木马不依赖杀毒软件，用XT等工具是不是很难查出来？
（哈哈，你果然资深潜水人士啊，注册时间和发帖数）

左寒

坠落今生 发表于 2012-3-25 09:38
在迅雷目录下生成DLL文件，当放迅雷启动是就会自动加载。现在各种QQ显IP插件都是用这种方法随QQ启动的。（小 ...

这个就不单单涉及到系统环境了。
这个也跟注入类似了。

在目录下生成文件，假如是HIPS的FD监控，要生成也不容易，生成后让迅雷加载，那么又涉及到AD，病毒要发作也不容易……
当然，这些都是有HIPS这个前提了。
假如单纯是普通杀软的监控，那当然能够绕得过去，但是现在部分杀软也已经加入了行为分析，所以这些类似注入的启动方式也不容易了。

左寒

就算不谈到HIPS，那也得对迅雷组件的运作方式了然于胸，否则，DLL文件加载或许容易，但是稳定性就难说了。

所以，要想成功启动，稳定运行，操作者除了有着良好的编程基础，要考虑的方面还有许多。